구독상품안내
컴퓨터를 감시하는 프로그램도 개발되고 있다. 요즘 자주 등장하는 컴퓨터범죄, 컴퓨터조작의 대비책은 무엇인가.
어느날 미국 국방부 건물인 펜타곤에는 커다란 소동이 벌어졌다.
정보통신실의 비상버저가 울리고 컴퓨터 영상장치에 수백발의 대륙간 탄도탄이 날아오고 있는 상황이 나타났기 때문이다. 예하 전 군에는 자동으로 비상이 걸렸고 백악관에는 안보관계 참모들이 속속 모여 들었다.
이어서 모든 대응태세를 완료한 미사일 부대들은 백악관의 명령만 기다리고 있었고 백악관에서는 즉각 응사하자는 강경파와 크레믈린에 전화를 걸어 확인한 다음에 대처하자는 온건파 사이에 격론이 벌어지고 있었다.
미국 대통령은 핫라인을 통해 소련 서기장에게 항의하고 실수인지 고의인지를 채근했다. 전화를 받은 소련 서기장은 '무슨 소리냐'며 의아해하고 미사일을 발사한 사실이 없다고 대답했다.
전화로 입씨름 하는 사이에 이미 핵탄이 낙하할 시간이 지났으나 미국 어디에도 핵폭발 현상은 나타나지 않았다.
이것은 1981년도 '워 게임(War Game)이라는 영화의 주 스토리이다. 영화 속 사건의 내막은 이렇다. 미국 국방부 컴퓨터망에 어느 모험심 많은 고등학생이 다이얼업 라인을 타고 들어가 가상상태의 자료를 만들어 넣었던 것이다.
이기인가, 흉기인가
인류문명이 발전하면서 교통수단이 늘어나 자동차나 비행기가 인간에게 주는 편리성은 무한히 제공되고 있으나 각종사고로 인한 인명피해가 늘어나 문명의 흉기라는 말로 표시되기도 한다.
컴퓨터도 인류생활에 획기적인 기여를 하고 있는 반면 그 역작용 또한 가공할만한 것이라는 것을 경고하고 있는 영화인 것이다.
실제로도 이와같은 사건은 일어났다. 1983년에 독일에서 있었던 사건은, 독일연방정부의 컴퓨터에 어느 고등학교 2학년 학생이 온라인 다이얼업 라인을 통하여 침입하여 많은 자료를 뽑아보고 또 일부는 가공 숫자를 넣기도 하며 기계를 마음대로 사용했던 것이다. 이것이 2년간이나 발각되지 않자 이에 기술적 자부심을 느낀 학생이 자랑스럽게 찾아가 그 사실을 털어놓는 바람에 알려진 것이다.
이와같은 컴퓨터의 부정적 측면은 사람의 실수나 무의식중에 발생하는 오류와 고의적으로 저지르는 부정행위 즉 컴퓨터범죄가 있다.
이 오류문제는 예측이 가능한 것이므로 이를 방지할 수 있는 각종 제도와 방법을 연구하고 개선하고 있어 점점 줄어들고 있으며 그 피해도 그리 크지 않다. 그러나 고의적으로 저질러지는 컴퓨터 범죄는 커다란 사회문제로 대두되고 있다.
우리나라에서도 컴퓨터범죄라는 표현으로 신문 사회면 기사가 자주 등장하고 있다. 철도청 직원이 매표관리를 조작해 얼마간의 돈을 횡령했다는 사실이 잊혀지기도 전에, 어느 보험회사에서 회사관리과장이, 고객이 빌어쓴 돈 4천8백만원을 갚자 회사컴퓨터의 입출력 비밀번호를 알아내 컴퓨터내의 부채자료를 지우고 돈을 가로챘다는 내용이 최근에 보도됐다. 이는 범죄액수의 문제가 아니라 우리나라에서도 그만큼 자주 컴퓨터범죄가 발생한다는 것을 의미한다.
원래 컴퓨터범죄는 컴퓨터기계를 이용하는 범죄이므로 그 특징을 보면 대량의 자료를 처리할 수 있는 능력을 가지고 있어 범행시 그 피해가 크며, 온라인을 이용하므로 장소적 제한이 없어 전세계 어디서나 할 수 있고 기계적으로 처리되므로 시작만 하면 자동적이고 계속적으로 범행이 이루어진다. 또 전자적으로 처리되므로 육안으로 확인할 수가 없고 증거를 잡기가 힘든 점 등이 특징이다.
또한 컴퓨터범죄를 범하는 사람의 면면을 살펴보면, 그 범행동기가 못살고 가난하여 이를 극복하기 위한 것이기 보다는 주로 향락을 위해서이거나 원한관계 지적모험심 등이며, 범행자는 대부분 젊은 사람이고, 회사내부의 사람인 경우가 많으며 죄가 된다는 의식 자체가 극히 부족하다는 특징이 있다.
그러면 컴퓨터범죄란 어떤 것을 말하는가. 그 유형을 보면 첫째 컴퓨터 조작상의 부정이다.
컴퓨터를 조작(Manipulation)한다는것은 작게는 자료입력에서부터 프로그램까지 전부분에 해당되는데 이중 대표되는 것이 입력상의 조작과 프로그램 조작부정이 있다. 입력조작은 허위의 자료를 입력하거나 지워버리고 또 고쳐버리는 등의 행위이다.
우리나라는 컴퓨터조작 부정이 대부분
우리나라의 컴퓨터범죄 대부분이 이 유형으로 은행등 금융기관에서 실제로 입금을 하지 않으면서 컴퓨터에만 몇 억원씩 입금된 것처럼 입력을 하거나 또는 다른 고객이 입금시킨 돈을 엉뚱한 구좌로 입금된 것처럼 입력하는 등의 방법등을 말한다. 심지어는 전표를 위조하여 입력케 하는 방법도 사용한다.
프로그램 조작 부정은 컴퓨터 프로그램을 작성할 때 특정 절차를 자동으로 거치게 해놓는 등 그 방법은 무수히 많다. 우리나라 최초의 컴퓨터범죄로 알려진 반포 AID아파트 추첨 부정사건은 정상적인 작업을 진행시키고 특정인만을 당첨자 명단에 무조건 인쇄해내도록 프로그램을 조작한 것이다.
또한 은행의 이자 부정계산의 사건으로 여러개의 구좌를 금리계산하면서 십원 이하의 단수는 무조건 자기구좌로 입금되도록 프로그램을 조작한 경우도 있다. 그외에도 장기적으로 입출금 거래가 없는 휴면고객을 찾아내어 그 구좌에서 금액을 빼서 자기구좌로 옮기는 등의 수법도 다양하다.
앞에서 언급한 보험회사에서 일어난 부정사건도 채무관계의 근거가 되는 자료삭제의 수법을 쓴 것이다. 자료를 삭제할 경우 회사의 업무가 마비되는 경우도 발생할 수 있다.
다음 유형으로는 사보타지(Sabotage)인데 여기서 사보타지는 태업을 말하는 것이 아니고 컴퓨터를 파괴하거나 기능을 마비시키는 행위를 말하는 것이다. 이 경우는 대부분 원한관계나 정치적 목적으로 범행하는데, 피해액이 고액이며 또한 회사전체가 마비되는 결과를 가져온다.
이런 경우는 아직 우리나라에는 없었으나 남북이 대치하고 있는 상황에서 언제 일어날지 모르는 현상이다. 그 행위들을 보면 보통 폭탄 등에 의한 폭파, 방화나 파괴가 있는데 주로 정치상황이 불안하거나 전쟁중인 국가에서 많이 발생한다. 또한 수록된 자료의 삭제나 교란 파괴 등으로 실제로 컴퓨터운영이 불가능하게 하는 것도 사보타지의 일종이다.
여기서 비슷한 유형으로 산업스파이가 있는데 이들은 파괴 측면보다는 자료의 절취나 프로그램을 혼란시켜 경쟁회사를 곤경에 처하게 하는 경우도 있다. 미국 IBM에서 비밀 설계도를 일본의 히다치에 빼간 것은 유명한 산업스파이 사건의 하나이다.
세번째 유형이 컴퓨터 부정사용이다. 이것은 정상적인 절차를 거치지 않고 남의 컴퓨터를 사용하는 경우인데 앞에 설명한 독일의 학생은 그 대표적인 예가 된다. 이는 언뜻 보기에는 큰 문제가 되지 않는것 같으나 막대한 임대료 등을 내고 사용하고 있는 컴퓨터를 제3자가 도용함으로써 주인의 업무처리에 지장을 초래하는 것이다.
이 방법은 내부적으로 회사원이 정상적 절차를 밟지않고 자기 사사로운 일로 컴퓨터를 사용하는 경우와 외부인이 온라인을 통하여 사용하는 두가지 방법이 있다.
끝으로 각종 카드의 부정사용이다. 통상 CD카드라고 불리는 이 플래스틱 카드는 우리나라에도 많이 보급되어 있고 날로 그 숫자가 늘어가고 있는데, 이것을 이용한 범죄 또한 늘고 있다.
그 수법들을 보면 첫째, 분실된 카드를 활용하여 현금을 인출하거나 백화점 등에서 고액의 물품을 구입하는 것이다. 현금인출의 경우는 기본적으로 비밀번호를 알아야 하기 때문에 좀처럼 어렵다. 그러나 대부분의 카드발급을 받은 사람들은 자기 주위의 숫자로 비밀번호를 정하여 사용하는 경우가 많다. 예를들면 전화번호 자동차번호 생년월일 자기집주소의 번지나 아파트 동호수 등을 사용한다. 이럴 경우 카드를 습득한 사람은 주민등록을 열람함으로써 그 카드주인의 인적사항을 쉽게 알 수 있어 위험도가 아주 높다. 외국의 경우 가까운 친구나 친지가 카드를 절취하여 사용하는 경우도 상당히 많이 나타나고 있고, 이때에 카드를 절취하는 사람은 잠시 빌려쓰고 입금시켜주면 된다는 생각으로 죄의식이 전혀없는 경우가 대부분이다.
현금인출이 암호라는 관문이 있어 쉽게 범행하기가 어려운 반면에 물품구매의 경우는 거의 무방비 상태. 그 이유는 분실카드나 잔고가 없거나 신용불량의 카드의 리스트가 각 가맹점에 배포되고 있으나, 도난신고 후 그 정리가 신속하게 이루어지지 않거나 또 가맹점에서 리스트 대조작업을 소홀히 하는 경우가 대부분이기 때문이다.
크로스체크법 강화
그러면 이와같은 컴퓨터범죄의 예방책은 무엇인가. 실제로 컴퓨터범죄는 입력조작에 대한 부정행위가 가장 많은데, 이의 방지책은 여러자료를 상호 대조하여 볼 수 있는 크로스체크(Cross chek)방법을 강화하여야 겠다.
예를 들면 은행에서 입금을 시킬 때 입금전표를 작성하여 담당대리의 결재를 받고 단말기에서 입력시키고 있는데, 이를 다른 곳에서 다시 한번 입력시켜 대조하는 방법이 크로스체크이다. 물론 똑같은 작업을 두번해야 하므로 경비 등이 많이 소요되고 처리시간이 지연되는 문제점이 있다. 이를 효율적으로 시행키 위해서 예금종류별이나 입금시킨 화폐의 종류 즉 예금종류별이나 입금시킨 화폐의 종류 즉 현금 보증수표 가계수표 당좌수표 약속어음 등을 구분하여 입력하고 이의 소계를 내고 전체총액과 입금총액과 대조해보는 방법 등을 제도적으로 연구해야 할 것이다.
또한 감독자인 대리 이상의 간부들은 전표한 결재할 것이 아니라 수시로 입력하는 단말기를 컴퓨터로 모니터링 할 수 있도록 제도화하고 무작위로 수시 모니터링 해봄으로써 입력담당자에세 심리적인 영향을 주는 효과가 있어 외국에서는 널리 활용되고 있다.
여기서 한가지 소개할 것은 아직도 '컴퓨터는 완전하다'는 생각을 가지고 있는 사람이 많다는 것인, 흔히 사람들은 빈틈없는 사람을 표현할때 '그 사람은 컴퓨터 같은 사람'이라고 말한다. 이와 같은 심리상태를 이용하여 막대한 부정을 범한 사건이 있었다. 영등포에 있는 모 방직회사의 급여를 전산처리 해주는 과정에서 일어난 범죄이다. 급여를 개인별로 명세서를 인쇄하고 부서별로 그 합계를 내어 그 합계금액을 각부서에 나눠주면 각 부서에서는 개인별 리스트대로 돈을 지불한다. 그런데 여기에 전부 합한 금액보다 부서 전제 합계 금액난의 금액을 훨씬 많게 인쇄해내 그 차액을 착복한것이다.
즉 컴퓨터가 계산한 것이니 맞을 것이라고 생각하고 근 1년간을 검토없이 그대로 지출했던 것이다. 컴퓨터에서 출력된 것이라도 수시로 점검해야만 한다.
다음으로 프로그램을 조작하는 부정범죄는 그 대비책이 상당히 어려운 것이므로 전세계적으로 이에 대한 연구가 활발히 되고 있다. 각종 탐사용 프로그램 패키지의 개발이 그것이다.
감사용 프로그램도 등장
그러나 이와같은 일반적인 프로그램은 각 컴퓨터실에서 사용하는 프로그램을 전부 감시할 수 없으므로, 자체적으로 감사용 프로그램을 제작하여 사용함이 효과적이다. 뿐만아니라 일반적인 체크방법도 겸용하는 것이 효과적인데, 이 방법은 감독자가 담당직원들의 신상을 항상 주의깊게 관찰하는 것.
예를 들면 프로그램요원이 자기 보수수준에 맞지 않게 호화생활을 한다거나 연인 등에게 값비싼 선물을 하는 등의 행위가 있다면 틀림없이 어떤 부정행위가 있을 것이다. 또한 금융기관에서 기관간의 결제제도를 개선하여 적어도 2일이내에 정산이 되도록 하여야 할것인 바, 이는 그 기간이 길면 범행 후 발각되기전에 해외로 도피하는 사례 등이 많기 때문이다.
두번째로 사보타지와 산업스파이 문제는 역시 컴퓨터기술 외적인 방법으로 대비하는 길밖에 없다. 각종 출입통제장치 즉 경비원 및 기계실 출입자를 일일이 체크하고 출입시간 등을 제한한다거나, 출입카드제 개인식별표 등을 사용하는 방법 등이다.
외부에서 온라인망을 통하여 컴퓨터내부에 침입하여 자료의 인출이나 시스팀의 교란을 행하는 행위에 대해서 최근에는 체크방법을 강화하여 몇개의 패스워드와 비밀번호 등을 연계시켜 활용하는 경우가 많다.
세번째로 컴퓨터부정사용 방지책으로 내부인에 대한 감독을 철저히 하되, 로깅파일에 수록된 어카운트 넘버별로 체크해 나가도록 하고 외부인이 온라인을 통해 사용할 경우를 대비하여 역시 패스워드와 비밀번호를 강화하는 것이 효과적이다.
마지막으로 CD카드의 부정사용문제는 우선 암호를 자기주위의 것으로 정하지 말아야 하며, 특히 주위에 가까이 있는 사람에게 자신의 암호를 알지못하도록 항상 주의하여야 한다. 또한 제도적으로는 카드가맹점에는 반드시 이를 확인할 수 있는 간단한 단말기를 설치하여야 할 것이고 분실이나 도난신고가 즉시 처리될 수 있도록 조치해야 한다.
즉 분실한 사람은 어느곳에서나 전화로 신고하면 그 사항이 즉시 컴퓨터 시스팀에 입력되고, 각 가맹점에는 단말기를 반드시 설치하고, 카드로 물품을 구매하는 경우는 그 진위를 꼭 확인하는 제도가 확립되어야 할 것이다. 과거에는 단말기 값이 고가이고 통신선의 사용료가 비싸서 이와 같은 제도정착이 어려웠으나 이제 단말기 값도 많이 저렴해졌고 통신선도 전용선이 아닌 다이얼업(Dialup)방식으로, 사용하는 시간만 연결되고 그사용 시간분만 요금을 지불하게 되어 아주 저렴해진다. 우리나라도 신용카드 조회시스팀을 전문적으로 설치해 주는 회사가 생겨, 카드가맹점에 많은 조회단말기가 보급돼 있으나 아직 완벽한 리얼타임온라인망이 확보돼 있지 않아 완전하지는 않다.
그러면 이와같은 범죄의 예방 및 처벌에 있어 어떤 문제점이 있는가 살펴보면 첫째로 각종 법률의 미비점이 발견되고 있어 이의 보완이 시급한 실정이다. 앞에서 이야기한 주민등록의 열람이나 등초본 발급은 본인이나 가족이 아니라도 누구나 다 할 수 있게 되어있다. 따라서 개인의 프라이버시 침해문제는 별개로 하더라도 카드 분실시 피해를 보는 경우가 많다.
또한 컴퓨터 부정사용 등 행위가 형법상의 범죄를 구성하지 않거나 곧바로 범죄로 처벌할 수 없는 경우가 있다. 즉 형법상에 사용절도는 절도죄가 성립되지 않는다고 보고있는 바, 남의 자전거를 주인의 승낙없이 잠깐 타고 갔다와서 반납했을 경우와 같이 컴퓨터를 잠깐 사용했을때 그 처벌법규가 찾기 힘들며, 컴퓨터내부에서 타인구좌로부터 고액을 빼내서 자기구좌로 옮겨 놨을때 절도죄로 인정하기 어렵다는 것. 또한 마그네틱 테이프나 디스크의 기록을 지웠을 때 문서손괴나 재물손괴로 볼 수 있느냐 하는 것이다.
따라서 이러한 범죄의 예방을 위하여는 관계법규를 현실적으로 맞게 개정하거나 새로 만들어야만 죄질에 맞는 처벌이 가능해지며 범죄도 예방될 것이다.
둘째로 최고경영자나 관리자의 컴퓨터에 대한 인식의 전환인데, 일반적으로 '컴퓨터는 전문가나 다루는 것이다'라는 관념을 갖고 있어 직접 단말기의 키보드를 두둘기는 일은 하지 않으려 한다. 그러므로 모순점 등을 발견할 수 있는 기회를 놓쳐 컴퓨터범죄는 더욱 발견이 어려워진다.
다음으로 컴퓨터는 만능이며 '도깨비 방망이'처럼 말만 하면 다 되는 것으로 인식하고 있는 것이다. 그러므로 갑자기 프로그램이 돼있지 않는 작업을 지시하는 경우가 허다하다. 컴퓨터범죄를 저지르려고 계획하는 사람은 이때가 좋은 기회가 되는 경우가 많다. 따라서 프로그램이 작성되어야 작업이 가능하다는 것을 관리자는 인식하고 또 프로그램의 수정이나 신규개발에 있어서는 엄격하게 결재채널을 거쳐 실시하도록 제도화해야 할 것이다. 그 처리결과 등에 대하여도 수시로 체크해야 함은 물론이다.
어느날 미국 국방부 건물인 펜타곤에는 커다란 소동이 벌어졌다.
정보통신실의 비상버저가 울리고 컴퓨터 영상장치에 수백발의 대륙간 탄도탄이 날아오고 있는 상황이 나타났기 때문이다. 예하 전 군에는 자동으로 비상이 걸렸고 백악관에는 안보관계 참모들이 속속 모여 들었다.
이어서 모든 대응태세를 완료한 미사일 부대들은 백악관의 명령만 기다리고 있었고 백악관에서는 즉각 응사하자는 강경파와 크레믈린에 전화를 걸어 확인한 다음에 대처하자는 온건파 사이에 격론이 벌어지고 있었다.
미국 대통령은 핫라인을 통해 소련 서기장에게 항의하고 실수인지 고의인지를 채근했다. 전화를 받은 소련 서기장은 '무슨 소리냐'며 의아해하고 미사일을 발사한 사실이 없다고 대답했다.
전화로 입씨름 하는 사이에 이미 핵탄이 낙하할 시간이 지났으나 미국 어디에도 핵폭발 현상은 나타나지 않았다.
이것은 1981년도 '워 게임(War Game)이라는 영화의 주 스토리이다. 영화 속 사건의 내막은 이렇다. 미국 국방부 컴퓨터망에 어느 모험심 많은 고등학생이 다이얼업 라인을 타고 들어가 가상상태의 자료를 만들어 넣었던 것이다.
이기인가, 흉기인가
인류문명이 발전하면서 교통수단이 늘어나 자동차나 비행기가 인간에게 주는 편리성은 무한히 제공되고 있으나 각종사고로 인한 인명피해가 늘어나 문명의 흉기라는 말로 표시되기도 한다.
컴퓨터도 인류생활에 획기적인 기여를 하고 있는 반면 그 역작용 또한 가공할만한 것이라는 것을 경고하고 있는 영화인 것이다.
실제로도 이와같은 사건은 일어났다. 1983년에 독일에서 있었던 사건은, 독일연방정부의 컴퓨터에 어느 고등학교 2학년 학생이 온라인 다이얼업 라인을 통하여 침입하여 많은 자료를 뽑아보고 또 일부는 가공 숫자를 넣기도 하며 기계를 마음대로 사용했던 것이다. 이것이 2년간이나 발각되지 않자 이에 기술적 자부심을 느낀 학생이 자랑스럽게 찾아가 그 사실을 털어놓는 바람에 알려진 것이다.
이와같은 컴퓨터의 부정적 측면은 사람의 실수나 무의식중에 발생하는 오류와 고의적으로 저지르는 부정행위 즉 컴퓨터범죄가 있다.
이 오류문제는 예측이 가능한 것이므로 이를 방지할 수 있는 각종 제도와 방법을 연구하고 개선하고 있어 점점 줄어들고 있으며 그 피해도 그리 크지 않다. 그러나 고의적으로 저질러지는 컴퓨터 범죄는 커다란 사회문제로 대두되고 있다.
우리나라에서도 컴퓨터범죄라는 표현으로 신문 사회면 기사가 자주 등장하고 있다. 철도청 직원이 매표관리를 조작해 얼마간의 돈을 횡령했다는 사실이 잊혀지기도 전에, 어느 보험회사에서 회사관리과장이, 고객이 빌어쓴 돈 4천8백만원을 갚자 회사컴퓨터의 입출력 비밀번호를 알아내 컴퓨터내의 부채자료를 지우고 돈을 가로챘다는 내용이 최근에 보도됐다. 이는 범죄액수의 문제가 아니라 우리나라에서도 그만큼 자주 컴퓨터범죄가 발생한다는 것을 의미한다.
원래 컴퓨터범죄는 컴퓨터기계를 이용하는 범죄이므로 그 특징을 보면 대량의 자료를 처리할 수 있는 능력을 가지고 있어 범행시 그 피해가 크며, 온라인을 이용하므로 장소적 제한이 없어 전세계 어디서나 할 수 있고 기계적으로 처리되므로 시작만 하면 자동적이고 계속적으로 범행이 이루어진다. 또 전자적으로 처리되므로 육안으로 확인할 수가 없고 증거를 잡기가 힘든 점 등이 특징이다.
또한 컴퓨터범죄를 범하는 사람의 면면을 살펴보면, 그 범행동기가 못살고 가난하여 이를 극복하기 위한 것이기 보다는 주로 향락을 위해서이거나 원한관계 지적모험심 등이며, 범행자는 대부분 젊은 사람이고, 회사내부의 사람인 경우가 많으며 죄가 된다는 의식 자체가 극히 부족하다는 특징이 있다.
그러면 컴퓨터범죄란 어떤 것을 말하는가. 그 유형을 보면 첫째 컴퓨터 조작상의 부정이다.
컴퓨터를 조작(Manipulation)한다는것은 작게는 자료입력에서부터 프로그램까지 전부분에 해당되는데 이중 대표되는 것이 입력상의 조작과 프로그램 조작부정이 있다. 입력조작은 허위의 자료를 입력하거나 지워버리고 또 고쳐버리는 등의 행위이다.
우리나라는 컴퓨터조작 부정이 대부분
우리나라의 컴퓨터범죄 대부분이 이 유형으로 은행등 금융기관에서 실제로 입금을 하지 않으면서 컴퓨터에만 몇 억원씩 입금된 것처럼 입력을 하거나 또는 다른 고객이 입금시킨 돈을 엉뚱한 구좌로 입금된 것처럼 입력하는 등의 방법등을 말한다. 심지어는 전표를 위조하여 입력케 하는 방법도 사용한다.
프로그램 조작 부정은 컴퓨터 프로그램을 작성할 때 특정 절차를 자동으로 거치게 해놓는 등 그 방법은 무수히 많다. 우리나라 최초의 컴퓨터범죄로 알려진 반포 AID아파트 추첨 부정사건은 정상적인 작업을 진행시키고 특정인만을 당첨자 명단에 무조건 인쇄해내도록 프로그램을 조작한 것이다.
또한 은행의 이자 부정계산의 사건으로 여러개의 구좌를 금리계산하면서 십원 이하의 단수는 무조건 자기구좌로 입금되도록 프로그램을 조작한 경우도 있다. 그외에도 장기적으로 입출금 거래가 없는 휴면고객을 찾아내어 그 구좌에서 금액을 빼서 자기구좌로 옮기는 등의 수법도 다양하다.
앞에서 언급한 보험회사에서 일어난 부정사건도 채무관계의 근거가 되는 자료삭제의 수법을 쓴 것이다. 자료를 삭제할 경우 회사의 업무가 마비되는 경우도 발생할 수 있다.
다음 유형으로는 사보타지(Sabotage)인데 여기서 사보타지는 태업을 말하는 것이 아니고 컴퓨터를 파괴하거나 기능을 마비시키는 행위를 말하는 것이다. 이 경우는 대부분 원한관계나 정치적 목적으로 범행하는데, 피해액이 고액이며 또한 회사전체가 마비되는 결과를 가져온다.
이런 경우는 아직 우리나라에는 없었으나 남북이 대치하고 있는 상황에서 언제 일어날지 모르는 현상이다. 그 행위들을 보면 보통 폭탄 등에 의한 폭파, 방화나 파괴가 있는데 주로 정치상황이 불안하거나 전쟁중인 국가에서 많이 발생한다. 또한 수록된 자료의 삭제나 교란 파괴 등으로 실제로 컴퓨터운영이 불가능하게 하는 것도 사보타지의 일종이다.
여기서 비슷한 유형으로 산업스파이가 있는데 이들은 파괴 측면보다는 자료의 절취나 프로그램을 혼란시켜 경쟁회사를 곤경에 처하게 하는 경우도 있다. 미국 IBM에서 비밀 설계도를 일본의 히다치에 빼간 것은 유명한 산업스파이 사건의 하나이다.
세번째 유형이 컴퓨터 부정사용이다. 이것은 정상적인 절차를 거치지 않고 남의 컴퓨터를 사용하는 경우인데 앞에 설명한 독일의 학생은 그 대표적인 예가 된다. 이는 언뜻 보기에는 큰 문제가 되지 않는것 같으나 막대한 임대료 등을 내고 사용하고 있는 컴퓨터를 제3자가 도용함으로써 주인의 업무처리에 지장을 초래하는 것이다.
이 방법은 내부적으로 회사원이 정상적 절차를 밟지않고 자기 사사로운 일로 컴퓨터를 사용하는 경우와 외부인이 온라인을 통하여 사용하는 두가지 방법이 있다.
끝으로 각종 카드의 부정사용이다. 통상 CD카드라고 불리는 이 플래스틱 카드는 우리나라에도 많이 보급되어 있고 날로 그 숫자가 늘어가고 있는데, 이것을 이용한 범죄 또한 늘고 있다.
그 수법들을 보면 첫째, 분실된 카드를 활용하여 현금을 인출하거나 백화점 등에서 고액의 물품을 구입하는 것이다. 현금인출의 경우는 기본적으로 비밀번호를 알아야 하기 때문에 좀처럼 어렵다. 그러나 대부분의 카드발급을 받은 사람들은 자기 주위의 숫자로 비밀번호를 정하여 사용하는 경우가 많다. 예를들면 전화번호 자동차번호 생년월일 자기집주소의 번지나 아파트 동호수 등을 사용한다. 이럴 경우 카드를 습득한 사람은 주민등록을 열람함으로써 그 카드주인의 인적사항을 쉽게 알 수 있어 위험도가 아주 높다. 외국의 경우 가까운 친구나 친지가 카드를 절취하여 사용하는 경우도 상당히 많이 나타나고 있고, 이때에 카드를 절취하는 사람은 잠시 빌려쓰고 입금시켜주면 된다는 생각으로 죄의식이 전혀없는 경우가 대부분이다.
현금인출이 암호라는 관문이 있어 쉽게 범행하기가 어려운 반면에 물품구매의 경우는 거의 무방비 상태. 그 이유는 분실카드나 잔고가 없거나 신용불량의 카드의 리스트가 각 가맹점에 배포되고 있으나, 도난신고 후 그 정리가 신속하게 이루어지지 않거나 또 가맹점에서 리스트 대조작업을 소홀히 하는 경우가 대부분이기 때문이다.
크로스체크법 강화
그러면 이와같은 컴퓨터범죄의 예방책은 무엇인가. 실제로 컴퓨터범죄는 입력조작에 대한 부정행위가 가장 많은데, 이의 방지책은 여러자료를 상호 대조하여 볼 수 있는 크로스체크(Cross chek)방법을 강화하여야 겠다.
예를 들면 은행에서 입금을 시킬 때 입금전표를 작성하여 담당대리의 결재를 받고 단말기에서 입력시키고 있는데, 이를 다른 곳에서 다시 한번 입력시켜 대조하는 방법이 크로스체크이다. 물론 똑같은 작업을 두번해야 하므로 경비 등이 많이 소요되고 처리시간이 지연되는 문제점이 있다. 이를 효율적으로 시행키 위해서 예금종류별이나 입금시킨 화폐의 종류 즉 예금종류별이나 입금시킨 화폐의 종류 즉 현금 보증수표 가계수표 당좌수표 약속어음 등을 구분하여 입력하고 이의 소계를 내고 전체총액과 입금총액과 대조해보는 방법 등을 제도적으로 연구해야 할 것이다.
또한 감독자인 대리 이상의 간부들은 전표한 결재할 것이 아니라 수시로 입력하는 단말기를 컴퓨터로 모니터링 할 수 있도록 제도화하고 무작위로 수시 모니터링 해봄으로써 입력담당자에세 심리적인 영향을 주는 효과가 있어 외국에서는 널리 활용되고 있다.
여기서 한가지 소개할 것은 아직도 '컴퓨터는 완전하다'는 생각을 가지고 있는 사람이 많다는 것인, 흔히 사람들은 빈틈없는 사람을 표현할때 '그 사람은 컴퓨터 같은 사람'이라고 말한다. 이와 같은 심리상태를 이용하여 막대한 부정을 범한 사건이 있었다. 영등포에 있는 모 방직회사의 급여를 전산처리 해주는 과정에서 일어난 범죄이다. 급여를 개인별로 명세서를 인쇄하고 부서별로 그 합계를 내어 그 합계금액을 각부서에 나눠주면 각 부서에서는 개인별 리스트대로 돈을 지불한다. 그런데 여기에 전부 합한 금액보다 부서 전제 합계 금액난의 금액을 훨씬 많게 인쇄해내 그 차액을 착복한것이다.
즉 컴퓨터가 계산한 것이니 맞을 것이라고 생각하고 근 1년간을 검토없이 그대로 지출했던 것이다. 컴퓨터에서 출력된 것이라도 수시로 점검해야만 한다.
다음으로 프로그램을 조작하는 부정범죄는 그 대비책이 상당히 어려운 것이므로 전세계적으로 이에 대한 연구가 활발히 되고 있다. 각종 탐사용 프로그램 패키지의 개발이 그것이다.
감사용 프로그램도 등장
그러나 이와같은 일반적인 프로그램은 각 컴퓨터실에서 사용하는 프로그램을 전부 감시할 수 없으므로, 자체적으로 감사용 프로그램을 제작하여 사용함이 효과적이다. 뿐만아니라 일반적인 체크방법도 겸용하는 것이 효과적인데, 이 방법은 감독자가 담당직원들의 신상을 항상 주의깊게 관찰하는 것.
예를 들면 프로그램요원이 자기 보수수준에 맞지 않게 호화생활을 한다거나 연인 등에게 값비싼 선물을 하는 등의 행위가 있다면 틀림없이 어떤 부정행위가 있을 것이다. 또한 금융기관에서 기관간의 결제제도를 개선하여 적어도 2일이내에 정산이 되도록 하여야 할것인 바, 이는 그 기간이 길면 범행 후 발각되기전에 해외로 도피하는 사례 등이 많기 때문이다.
두번째로 사보타지와 산업스파이 문제는 역시 컴퓨터기술 외적인 방법으로 대비하는 길밖에 없다. 각종 출입통제장치 즉 경비원 및 기계실 출입자를 일일이 체크하고 출입시간 등을 제한한다거나, 출입카드제 개인식별표 등을 사용하는 방법 등이다.
외부에서 온라인망을 통하여 컴퓨터내부에 침입하여 자료의 인출이나 시스팀의 교란을 행하는 행위에 대해서 최근에는 체크방법을 강화하여 몇개의 패스워드와 비밀번호 등을 연계시켜 활용하는 경우가 많다.
세번째로 컴퓨터부정사용 방지책으로 내부인에 대한 감독을 철저히 하되, 로깅파일에 수록된 어카운트 넘버별로 체크해 나가도록 하고 외부인이 온라인을 통해 사용할 경우를 대비하여 역시 패스워드와 비밀번호를 강화하는 것이 효과적이다.
마지막으로 CD카드의 부정사용문제는 우선 암호를 자기주위의 것으로 정하지 말아야 하며, 특히 주위에 가까이 있는 사람에게 자신의 암호를 알지못하도록 항상 주의하여야 한다. 또한 제도적으로는 카드가맹점에는 반드시 이를 확인할 수 있는 간단한 단말기를 설치하여야 할 것이고 분실이나 도난신고가 즉시 처리될 수 있도록 조치해야 한다.
즉 분실한 사람은 어느곳에서나 전화로 신고하면 그 사항이 즉시 컴퓨터 시스팀에 입력되고, 각 가맹점에는 단말기를 반드시 설치하고, 카드로 물품을 구매하는 경우는 그 진위를 꼭 확인하는 제도가 확립되어야 할 것이다. 과거에는 단말기 값이 고가이고 통신선의 사용료가 비싸서 이와 같은 제도정착이 어려웠으나 이제 단말기 값도 많이 저렴해졌고 통신선도 전용선이 아닌 다이얼업(Dialup)방식으로, 사용하는 시간만 연결되고 그사용 시간분만 요금을 지불하게 되어 아주 저렴해진다. 우리나라도 신용카드 조회시스팀을 전문적으로 설치해 주는 회사가 생겨, 카드가맹점에 많은 조회단말기가 보급돼 있으나 아직 완벽한 리얼타임온라인망이 확보돼 있지 않아 완전하지는 않다.
그러면 이와같은 범죄의 예방 및 처벌에 있어 어떤 문제점이 있는가 살펴보면 첫째로 각종 법률의 미비점이 발견되고 있어 이의 보완이 시급한 실정이다. 앞에서 이야기한 주민등록의 열람이나 등초본 발급은 본인이나 가족이 아니라도 누구나 다 할 수 있게 되어있다. 따라서 개인의 프라이버시 침해문제는 별개로 하더라도 카드 분실시 피해를 보는 경우가 많다.
또한 컴퓨터 부정사용 등 행위가 형법상의 범죄를 구성하지 않거나 곧바로 범죄로 처벌할 수 없는 경우가 있다. 즉 형법상에 사용절도는 절도죄가 성립되지 않는다고 보고있는 바, 남의 자전거를 주인의 승낙없이 잠깐 타고 갔다와서 반납했을 경우와 같이 컴퓨터를 잠깐 사용했을때 그 처벌법규가 찾기 힘들며, 컴퓨터내부에서 타인구좌로부터 고액을 빼내서 자기구좌로 옮겨 놨을때 절도죄로 인정하기 어렵다는 것. 또한 마그네틱 테이프나 디스크의 기록을 지웠을 때 문서손괴나 재물손괴로 볼 수 있느냐 하는 것이다.
따라서 이러한 범죄의 예방을 위하여는 관계법규를 현실적으로 맞게 개정하거나 새로 만들어야만 죄질에 맞는 처벌이 가능해지며 범죄도 예방될 것이다.
둘째로 최고경영자나 관리자의 컴퓨터에 대한 인식의 전환인데, 일반적으로 '컴퓨터는 전문가나 다루는 것이다'라는 관념을 갖고 있어 직접 단말기의 키보드를 두둘기는 일은 하지 않으려 한다. 그러므로 모순점 등을 발견할 수 있는 기회를 놓쳐 컴퓨터범죄는 더욱 발견이 어려워진다.
다음으로 컴퓨터는 만능이며 '도깨비 방망이'처럼 말만 하면 다 되는 것으로 인식하고 있는 것이다. 그러므로 갑자기 프로그램이 돼있지 않는 작업을 지시하는 경우가 허다하다. 컴퓨터범죄를 저지르려고 계획하는 사람은 이때가 좋은 기회가 되는 경우가 많다. 따라서 프로그램이 작성되어야 작업이 가능하다는 것을 관리자는 인식하고 또 프로그램의 수정이나 신규개발에 있어서는 엄격하게 결재채널을 거쳐 실시하도록 제도화해야 할 것이다. 그 처리결과 등에 대하여도 수시로 체크해야 함은 물론이다.
